今月、金融商品取引法（J-SOX法）が施行されてから最初の決算を迎える企業は少なくないだろう。今回まで5回にわたり、J-SOX法に対応した初めての決算をターゲットに、企業が最優先で行うべき内部統制をさまざまな角度から考えてきた今シリーズも、いよいよ最終回。今回はIT資産管理について、内部統制の観点から、その課題と解決策を考えていく。今回も、富士通 ソフトウェア事業本部 ミドルウェア事業統括部 プロジェクト課長 堀江隆一氏に聞いた。

富士通株式会社 ソフトウェア事業本部 ミドルウェア事業統括部 プロジェクト課長 堀江 隆一 氏

　内部統制における財務/会計システムが正しく運用されるためには、稼働するアプリケーションの運用だけでなく、運用基盤としてのハードウェア/ソフトウェアの環境が正しく維持されていることが必要である。

　そのためには、前回まで紹介してきたシステムの直接的な統制はもちろん、システム全体におけるインフラ環境の統制も必要である。

　しかし、「現状では、全社のIT資産を確実に把握している企業は多くはない」と堀江氏は次のように語る。「もちろん利用を始めた時には台帳に記入されますが、多くの場合、更新は1年に1回の棚卸しで反映する程度です。しかし、人の異動や組織変更に伴って、ハードウェアの移動やソフトウェアの新規導入、バージョンアップなど、IT資産の構成はかなりの頻度で変更されています。そのため、台帳と実態が乖離してしまうのです」

　棚卸しにかかる手間暇も問題だ。台帳と突き合わせながら、各部門を回って現物を確認するだけで多くの工数がかかるし、人と共に機器が移動してしまえば追跡調査をしなければならない。まして、PCに入っているすべてのソフトウェアを確認するには、膨大な工数がかかってしまう。

　さらに内部統制では、IT資産が変更された場合、変更履歴が残っている必要があるが、年1回の棚卸しだけでは、いつ、どのように変更されたかを確実に把握することは難しい。これでは、問題があって追跡調査をしなければならないような場合、対処ができない。

　同時に、コンプライアンスや投資の適正化、セキュリティの観点からも、IT資産の把握と管理は必須である。たとえば、ソフトウェアのライセンスは、利用しているソフトウェアよりもライセンス数が少ないとライセンス違反となってしまい、コンプライアンス上、重大な問題となる。逆に、ライセンスの方が多ければ、本来、必要のないコストをかけていることになる。

　また、統制のひとつの側面であるセキュリティの観点からも、IT資産の把握は重要だ。たとえば、廃棄PCのHDD内のデータを適切に消去したか、といったことが管理できなければ、セキュリティ上のリスクを抱えることにもなる。

　これらの課題を解決するために最も重要なのは、まずIT資産を「見える化」することである。

　そのためには、クライアントPCのインベントリ情報を自動的に収集するしくみが有効だ。ハードウェア/ソフトウェア構成を自動的に収集できれば、機器が他部門に移動してしまっても把握可能。ソフトウェアのバージョンなどまで確実にわかるので、ライセンス管理も容易にできる。

　もちろん、自動化によって、工数の削減に圧倒的な効果がある。堀江氏は、「ある企業では、棚卸しに90日間もかかっていました。これを自動化することによって、少なくともPCに関しては、棚卸しに要する日数も工数もほぼゼロとなり、大幅なスピードアップと工数削減が可能になります」

　さらに、ネットワーク上のサーバ、クライアントPCなどと、それらを使用するユーザーの属性やアクセス権を一元管理し、権限に応じた利用を実現するActive Directoryと連携がとれれば、組織変更を資産管理台帳へ自動的に反映できる。

　IT資産の「見える化」が実現すれば、有効活用が可能になる。

　遊休資産を必要な部門に移すなど、全社で共有することでムダを省くことができる。また、廃棄時のプロセスやルールを確立し、OSやソフトウェアのライセンスを回収して、ほかに転用するしくみができれば、その分のライセンスのムダも省ける。

　さらに、現状を把握し、ライフサイクルでの管理を実施することにより、ライセンス違反やHDD内にデータを残したままPCを廃棄するような危険を回避でき、コンプライアンスやセキュリティのリスクも大幅に軽減することができる。

　「見える化」は統制の第一歩だが、内部統制では、それだけでは十分でない。定期的な棚卸しと構成変更の履歴を契約とあわせて管理し、結果を確認したという証拠を残すことが必要だ。

　さらに、棚卸し結果や契約情報の報告書も必要。システムですべての情報を一元的に管理していれば、これらの報告書を比較的容易に作成することも可能になる。

　上記のように全社のIT資産を把握・管理し、棚卸しなどの確認結果の保存や報告書の作成までを実現するのが、富士通の「Systemwalker Desktop Patrol」と「Systemwalker Desktop Patrol Assessor」だ。

　これらを導入することで、統制の強化や効率化を実現した、ある地方銀行のケースを紹介しよう。

上記課題を解決するため、同社は「Systemwalker Desktop Patrol」と「Systemwalker Desktop Patrol Assessor」を導入し、以下のようなメリットを得た。

　以上、5回にわたって重要度が高い内部統制上の課題と、Systemwalkerが実現する課題解決について紹介してきた。もう待ったなしのJ-SOX対応だが、初年度は手作業での対応が残ってしまった企業も少なくないはず。しかし、監査はこれから毎年続く作業である。少しずつでも改善を重ね、統制がとれた効率的なシステム運用を実現していただきたい。